Wie finde ich heraus, welchen Keystore meine JVM verwendet?

Ich muss ein Zertifikat in meinen JVM-Keystore importieren. Ich benutze folgendes:

keytool -import -alias daldap -file somecert.cer

Also müsste ich wahrscheinlich meinen Anruf in etwas ändern wie:

keytool -import -alias daldap -file somecert.cer -keystore cacerts –storepass changeit

Ihr Keystore befindet sich in Ihrem JAVA_HOME---> JRE -->lib---> security--> cacerts. Sie müssen überprüfen, wo Ihr JAVA_HOME konfiguriert ist, möglicherweise an einem dieser Orte.

1. Computer ---> Erweitert -> Umgebungsvariablen ---> JAVA_HOME

2. Ihre Server-Start-Batch-Dateien.

In Ihrem Importbefehl -keystore cacerts (geben Sie hier den vollständigen Pfad zur obigen JRE an, anstatt nur cacerts zu sagen).

Keystore-Speicherort

Jeder Keytool-Befehl verfügt über eine -keystoreOption zum Angeben des Namens und des Speicherorts der persistenten Keystore-Datei für den von Keytool verwalteten Keystore. Der Schlüsselspeicher wird standardmäßig in einer Datei gespeichert, die im .keystoreAusgangsverzeichnis des Benutzers benannt ist, wie durch die Systemeigenschaft "user.home" festgelegt. Bei gegebenem Benutzernamen uName wird standardmäßig der Eigenschaftswert "user.home" verwendet

C:\Users\uName on Windows 7 systems
C:\Winnt\Profiles\uName on multi-user Windows NT systems
C:\Windows\Profiles\uName on multi-user Windows 95 systems
C:\Windows on single-user Windows 95 systems

Wenn der Benutzername also "cathy" lautet, wird standardmäßig "user.home" verwendet

C:\Users\cathy on Windows 7 systems
C:\Winnt\Profiles\cathy on multi-user Windows NT systems
C:\Windows\Profiles\cathy on multi-user Windows 95 systems

http://docs.oracle.com/javase/1.5/docs/tooldocs/windows/keytool.html

Mac OS X 10.12 mit Java 1.8:

$ JAVA_HOME / jre / lib / security

cd $JAVA_HOME

/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home

Von dort ist es in:

./jre/lib/security

Ich habe dort einen Cacerts-Keystore.

So geben Sie dies als VM-Option an:

-Djavax.net.ssl.trustStore=/Library/Java/JavaVirtualMachines/jdk1.8.0_40.jdk/Contents/Home/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit

Ich sage nicht, dass dies der richtige Weg ist (Warum weiß Java nicht, wie man in JAVA_HOME schaut?), Aber das musste ich tun, damit es funktioniert.

Sie finden es in Ihrem "Home" -Verzeichnis:

Unter Windows 7:

C:\Users\<YOUR_ACCOUNT>\.keystore

Unter Linux (Ubuntu):

/home/<YOUR_ACCOUNT>/.keystore

Das funktioniert bei mir:

#! / bin / bash

CACERTS = $ ( readlink - e $ ( dirname $ ( readlink - e $ ( welches keytool ))) /../ lib / security / cacerts )

if keytool - list - keystore $ CACERTS - storepass changeit > / dev / null ; dann  
    echo $ CACERTS
sonst 
    echo 'Cacerts-Datei kann nicht gefunden werden.' > & 2 
    Ausfahrt 1 fi 

Nur für Linux. Mein Solaris hat keinen Readlink. Am Ende habe ich dieses Perl-Skript verwendet:

#! / usr / bin / env perl use strict ; verwenden Warnungen ; benutze Cwd qw ( realpath ); 
$ _ = realpath (( grep {- x && - f } map { "$ _ / keytool" } split ( ':' , $ ENV { PATH })) [ 0 ]); die "Keytool kann nicht gefunden werden", es sei denn , $ _ definiert ; mein $ keytool = $ _ ; drucken


  
  

 "Verwenden von '$ keytool'. \ N" ; 
s / keytool $ / /;
$ _ = realpath ($ _. '../ lib / security / cacerts ');
die "Kann keine Cacerts finden", es sei denn -f $ _;
meine $ cacerts = $ _;
print "Importieren in ' $ cacerts '. \ n";
`$ keytool -list -keystore" $ cacerts "-storepass changeit`;
die "Kann Schlüsselcontainer nicht lesen" außer $? == 0;
Beenden, wenn $ ARGV [0] eq ' - d ';
foreach (@ARGV) {
    mein $ cert = $ _;
    s /\.[^.‹+$//;
    mein $ alias = $ _;
    print "Importieren von ' $ cert ' als ' $ alias '. \ n";
    `keytool -importcert -file" $ cert "-alias" $ alias "-keystore" $ cacerts "-storepass changeit`;
    warn "Zertifikat kann nicht importiert werden: $?" es sei denn $? == 0;
}}

Wie DimtryB erwähnt hat, befindet sich der Keystore standardmäßig im Benutzerverzeichnis. Wenn Sie jedoch versuchen, die cacertsDatei zu aktualisieren , damit die JVM die Schlüssel auswählen kann, müssen Sie die cacertsDatei unter aktualisieren jre/lib/security. Sie können die Schlüssel auch anzeigen, indem Sie den Befehl ausführen, um festzustellen keytool -list -keystore cacerts, ob Ihr Zertifikat hinzugefügt wurde.

Unter Debian habe ich unter Verwendung der openjdk-Version "1.8.0_212" hier Cacerts gefunden:

 /etc/ssl/certs/java/cacerts

Sicher wäre es praktisch, wenn es einen Standardbefehl gäbe, der diesen Pfad ausdrucken würde.

Für mich mit dem offiziellen OpenJDK 12 Docker-Image war der Speicherort des Java-Keystores:

/usr/java/openjdk-12/lib/security/cacerts

Dieses Problem trat bei einem Tomcat auf, der aus einem jre-Verzeichnis ausgeführt wurde, das nach einem automatischen jre-Update (fast vollständig) entfernt wurde, sodass das laufende jre jre ... / lib / security / cacerts nicht mehr finden konnte, da es nicht mehr vorhanden war.

Ein Neustart von Tomcat (nachdem die Konfiguration so geändert wurde, dass sie von einem anderen Speicherort ausgeführt wird) hat das Problem behoben.

Zusätzlich zu allen obigen Antworten:

Wenn das Aktualisieren der cacerts-Datei im JRE-Verzeichnis nicht hilft, versuchen Sie, sie im JDK zu aktualisieren.

C: \ Programme \ Java \ jdk1.8.0_192 \ jre \ lib \ security